⚠ Mise à jour du 17 juillet 2026 : le Digital Omnibus sur l'IA a reçu l'approbation finale du Conseil de l'UE le 29 juin 2026 (après le vote du Parlement européen du 16 juin : 423 voix pour, 57 contre, 174 abstentions), mais à ce jour il n'est toujours pas publié au Journal officiel de l'UE (JOUE). Tant qu'il n'est pas publié, rien ne change. En Espagne, le projet de loi organique sur le bon usage et la gouvernance de l'IA (121/000096) a clos son délai d'amendements le 30 juin 2026 et reste en commission au Congrès : ce n'est pas encore une loi. Cet article distingue précisément ce qui est sanctionnable aujourd'hui de ce qui dépend de procédures inachevées.
« Amendes jusqu'à 35 millions d'euros » est la formule qui a généré le plus de gros titres sur le règlement européen sur l'IA, et aussi la moins bien expliquée. Le régime de sanctions de l'AI Act n'est pas un interrupteur unique qui s'active le 2 août 2026 : il comporte des éléments actifs depuis 2025, des éléments dont la date peut encore bouger, et un élément national — qui sanctionne en Espagne, et selon quelle procédure — qui aujourd'hui n'est encore qu'un projet de loi.
Cet article détaille les trois tranches de l'article 99, la règle spéciale pour les PME de l'article 99.6, ce que l'AESIA peut sanctionner dès aujourd'hui, et l'état réel — vérifié sur sources primaires, pas sur la date « attendue » — du Digital Omnibus et de la loi organique espagnole. Pour savoir quelle réglementation de conformité vous concerne dans son ensemble (AI Act, RGPD, NIS2, ENS), l'assistant « Quelle réglementation s'applique à moi ? » répond en deux minutes.
En bref : l'AI Act (règlement (UE) 2024/1689, art. 99) fixe trois tranches de sanction : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, jusqu'à 15 M€ ou 3 % pour le non-respect des obligations des opérateurs (dont la transparence de l'art. 50), et jusqu'à 7,5 M€ ou 1 % pour des informations fausses fournies à l'autorité. Pour les PME, l'art. 99.6 applique le montant le plus bas des deux, et non le plus élevé — l'inverse du RGPD. Le chapitre des sanctions est applicable depuis le 2 août 2025, sauf l'article 101 (amendes de la Commission aux fournisseurs de GPAI), qui attend le 2 août 2026. En Espagne, l'AESIA existe depuis 2023 et gère le bac à sable réglementaire, mais son pouvoir de sanction au titre de l'AI Act manque encore d'une base légale nationale complète : la loi organique qui le lui confère reste en cours d'examen parlementaire, sans date d'adoption. Le Digital Omnibus, approuvé par le Conseil le 29 juin 2026, reste en attente de publication au JOUE.
Combien peuvent coûter réellement les amendes de l'AI Act ?
L'article 99 du règlement (UE) 2024/1689 fixe trois tranches. Le montant applicable est toujours le montant le plus élevé entre le montant fixe en euros et le pourcentage du chiffre d'affaires mondial de l'exercice précédent — sauf si l'entreprise est une PME, ce qui inverse la règle (section suivante).
| Tranche (art. 99) | Montant maximal | Ce qu'elle sanctionne |
|---|---|---|
| Art. 99.3 | 35 000 000 € ou 7 % du chiffre d'affaires mondial annuel, le montant le plus élevé | Usage de systèmes d'IA interdits (art. 5) : notation sociale, manipulation subliminale, identification biométrique en temps réel dans l'espace public, etc. |
| Art. 99.4 | 15 000 000 € ou 3 % du chiffre d'affaires mondial annuel, le montant le plus élevé | Non-respect des obligations de fournisseur, déployeur, importateur, distributeur ou organisme notifié — y compris la transparence de l'article 50 (chatbots, deepfakes) et les exigences de risque élevé. |
| Art. 99.5 | 7 500 000 € ou 1 % du chiffre d'affaires mondial annuel, le montant le plus élevé | Fourniture d'informations incorrectes, incomplètes ou trompeuses à un organisme notifié ou à l'autorité nationale compétente. |
Ce ne sont pas des chiffres indicatifs : le texte littéral de l'article 99.3 fixe l'amende « jusqu'à 35 000 000 EUR ou, si l'auteur de l'infraction est une entreprise, jusqu'à 7 % de son chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu » [1]. Le même schéma se répète pour les tranches de 15 M€/3 % et 7,5 M€/1 %. Qui manque à l'obligation de littératie en IA de l'article 4, ou ne signale pas clairement un contenu généré par IA, relève en général de la tranche 99.4.
Vous ne savez pas dans quelle catégorie de risque se situe votre système d'IA — et donc quelle tranche de sanction pourrait s'appliquer en cas de manquement ? Le classificateur de risque AI Act répond gratuitement en moins de deux minutes, sans inscription.
Depuis quand l'AI Act peut-il vraiment sanctionner ?
C'est la question à laquelle presque personne ne répond avec précision, et elle explique pourquoi « tout commence le 2 août 2026 » est une simplification trompeuse. L'article 113 du règlement fixe l'application générale à cette date, mais son point b) avance celle du chapitre XII — sanctions, articles 99 à 101 — au 2 août 2025, avec le chapitre V (GPAI) et le chapitre VII (gouvernance), avec une exception dans l'exception : l'article 101 — amendes que la Commission impose directement aux fournisseurs de GPAI — en est exclu et attend la date générale de 2026 [2].
En pratique, le cadre de l'article 99 est formellement applicable depuis août 2025, un an avant ce qui est habituellement répété. Ce qui détermine si une sanction concrète est exigible, ce n'est pas cette date en elle-même, mais si l'obligation de fond enfreinte était déjà en vigueur au moment de l'infraction : les systèmes interdits de l'article 5, depuis février 2025 ; les obligations GPAI du chapitre V, depuis août 2025 ; mais la transparence de l'article 50 et l'Annexe III ne sont exigibles qu'à partir d'août 2026, donc pas d'infraction sanctionnable sur ces obligations précises avant cette date.
Il existe en outre une exigence institutionnelle que beaucoup d'analyses négligent : chaque État membre devait disposer d'un régime de sanctions opérationnel et le notifier à la Commission avant cette même date d'août 2025 (art. 99.1). Plusieurs États — dont l'Espagne, selon l'analyse juridique disponible — n'ont pas atteint ce délai avec une base légale nationale complète [3]. C'est la faille que nous voyons ensuite.
Les PME paient-elles moins d'amende ? La règle du montant le plus bas (art. 99.6)
L'AI Act intègre une garantie explicite pour les PME et jeunes pousses, sans équivalent littéral dans le RGPD, et qui fonctionne à l'inverse de ce que suggère l'intuition. L'article 99.6 dispose que, pour les PME, y compris les jeunes pousses, « chaque amende visée au présent article est plafonnée aux pourcentages ou au montant visés aux paragraphes 3, 4 et 5, le montant le moins élevé étant retenu » [4]. Alors qu'une grande entreprise se voit appliquer le montant le plus élevé entre le montant fixe et le pourcentage de chiffre d'affaires, une PME se voit appliquer le montant le plus bas. Une microentreprise avec 500 000 € de chiffre d'affaires annuel, dans la tranche des systèmes interdits, n'est pas exposée à « 35 millions ou 7 %, le plus élevé » — ce serait absurde — mais à 7 % de son propre chiffre d'affaires.
Il vaut la peine de comparer cela avec le RGPD, car les deux régimes sont structurellement différents. L'article 83 du RGPD fixe deux tranches — jusqu'à 10 M€ ou 2 % (premier groupe d'infractions) et jusqu'à 20 M€ ou 4 % (second groupe, plus grave) — et dans les deux cas c'est le montant le plus élevé qui s'applique [5]. Le RGPD ne contient pas de clause équivalente au 99.6 : la taille de l'entreprise est, au mieux, un facteur de graduation dans le même plafond, pas un plafond distinct. Pour voir cela en euros et comparer votre exposition sous les deux régimes, la calculatrice de sanctions RGPD est le point de départ le plus direct.
Qu'est-ce que l'AESIA et que peut-elle faire aujourd'hui, en juillet 2026 ?
L'Agence espagnole de supervision de l'intelligence artificielle (AESIA) est la première agence étatique de l'UE dédiée exclusivement à la supervision de l'IA. Créée par le décret royal 729/2023 du 22 août (BOE-A-2023-18911), elle a son siège à La Corogne [6]. Elle gère le premier bac à sable réglementaire d'IA de l'Union européenne — des tests supervisés sans exposition aux sanctions pendant la période d'essai — et a publié des guides de conformité issus de ce bac à sable pilote, aujourd'hui la source interprétative la plus complète en espagnol sur l'AI Act.
Cela dit, il existe une différence réelle entre « l'AESIA existe et fonctionne » et « l'AESIA dispose aujourd'hui de tout le pouvoir de sanction que l'AI Act prévoit pour l'autorité nationale compétente ». Le règlement européen impose à chaque État membre de désigner formellement une autorité de surveillance du marché et de la doter d'un régime de sanctions suffisamment précis pour satisfaire au principe de légalité des délits et des peines (lex certa) : il ne suffit pas qu'un organisme existe, il faut une norme interne qui définisse les infractions et les sanctions avec suffisamment de détail. Cette norme, en Espagne, c'est précisément la loi organique qui, à ce jour, reste au Congrès sans être adoptée. En attendant, l'analyse juridique disponible signale un espace de couverture incomplète [3]. L'AEPD, de son côté, a déjà rappelé qu'elle peut agir dès aujourd'hui contre des systèmes d'IA interdits qui traitent des données personnelles, en s'appuyant sur le RGPD, indépendamment du calendrier de l'AI Act [7] — une voie d'exposition réelle en attendant que la voie spécifique de l'AI Act soit résolue.
Où en est la loi organique espagnole sur l'IA ?
Le Conseil des ministres a approuvé le 26 mai 2026 le projet de loi organique sur le bon usage et la gouvernance de l'intelligence artificielle et l'a transmis aux Cortes. Le texte a été qualifié le 8 juin, publié au Bulletin officiel des Cortes (BOCG-15-A-97-1) le 12 juin 2026, et le délai de dépôt des amendements à la commission de l'Économie, du Commerce et de la Transformation numérique s'est clos le 30 juin 2026 [8]. À la date de cet article, le texte reste en phase de travaux en commission, sans date annoncée de rapport ni de débat en séance plénière. Restent ensuite le passage par le Sénat — avec son propre délai d'amendement ou de veto — et le vote final de retour au Congrès. C'est, en définitive, un projet de loi : sans force normative pour l'instant.
Le contenu du projet, tel que présenté, adapte le cadre de l'AI Act au droit espagnol : il désigne l'AESIA comme autorité principale de surveillance du marché (avec l'AEPD et le CGPJ comme autorités sectorielles dans leurs domaines respectifs), crée le cadre légal du bac à sable obligatoire, oblige le secteur public à recenser et rendre transparent son usage de l'IA, et fixe un régime de sanctions national en trois catégories : légères, jusqu'à 500 000 € ou 0,5 % du chiffre d'affaires annuel ; graves, jusqu'à 15 M€ ou 3 % ; et très graves, jusqu'à 35 M€ ou 7 %, alignées sur les plafonds déjà fixés par l'article 99 du règlement européen [9]. Ce sont les chiffres du projet présenté, susceptibles d'être amendés : ne les considérez pas comme du droit en vigueur avant que le texte ne franchisse la séance plénière, le Sénat et la publication au BOE.
Que peut-il vraiment se passer à partir du 2 août 2026 (et que ne peut-il pas se passer) ?
Ces deux éléments clarifiés, le calendrier d'août 2026 peut se lire sans alarmisme et sans le minimiser. Ce qui s'active le 2 août 2026 : la transparence de l'article 50 devient exigible, et son non-respect entre dans la tranche 15 M€/3 % ; l'article 101 entre en application, la Commission pouvant commencer à sanctionner directement les fournisseurs de GPAI à risque systémique ; et, sauf publication anticipée du Digital Omnibus au JOUE, l'Annexe III (tri de CV, notation de crédit, biométrie) devient pleinement soumise au régime à risque élevé.
Ce qui ne change pas : les systèmes interdits de l'article 5 étaient déjà sanctionnables depuis février 2025 ; et les obligations GPAI du chapitre V — hormis l'article 101 déjà évoqué — sont applicables depuis août 2025. Le Digital Omnibus, définitivement approuvé par le Conseil le 29 juin 2026 après le feu vert du Parlement le 16 juin (423 voix pour, 57 contre, 174 abstentions), reporterait l'Annexe III à décembre 2027 et l'Annexe I à août 2028, en vigueur trois jours après sa publication [10]. Mais cette publication n'a pas eu lieu. Tant qu'elle n'a pas lieu, la date qui s'impose reste août 2026 : planifier contre un report non publié est exactement le type de raccourci qui coûte cher lors d'un contrôle.
Pour le détail complet des dates, le guide du calendrier de l'AI Act et du Digital Omnibus le couvre avec ses sources. Si votre système pourrait relever de l'Annexe III, confirmez-le dans le guide de classification des risques de l'AI Act ; si vous devez connaître votre rôle — fournisseur, déployeur, importateur — avant de calculer votre exposition, c'est couvert dans le guide des obligations par rôle de l'AI Act. Et si vous avez un chatbot ou générez du contenu par IA, consultez la transparence de l'article 50 avant le 2 août ; si vous utilisez ChatGPT, Gemini ou Claude et ne savez pas si cela fait de vous un opérateur en aval, le guide GPAI et modèles à usage général clarifie la question.
Réduire votre exposition commence par savoir précisément dans quelle catégorie se situe chaque système d'IA que vous utilisez : le classificateur de risque AI Act répond gratuitement en deux minutes. Si vous gérez en plus des obligations de cybersécurité ou de continuité, le hub de conformité pour PME réunit AI Act, RGPD, NIS2 et ENS en une seule carte.
Si vous préférez que nous examinions ensemble votre exposition réelle — quels systèmes vous utilisez, dans quelle tranche ils se situeraient, et la marge que vous donne l'article 99.6 en tant que PME — réservez une session de diagnostic et nous l'étudierons avec vos données concrètes. Vous pouvez aussi découvrir le service de conseil en conformité AI Act pour un accompagnement continu.
Questions fréquentes sur les sanctions de l'AI Act et l'AESIA
Combien peuvent coûter réellement les amendes de l'AI Act ?
L'article 99 fixe trois plafonds : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, jusqu'à 15 millions ou 3 % pour le non-respect des obligations des opérateurs (y compris la transparence de l'article 50), et jusqu'à 7,5 millions ou 1 % pour la transmission d'informations fausses à l'autorité. Dans les trois cas, le montant le plus élevé s'applique, sauf si l'entreprise est une PME.
Les PME bénéficient-elles d'une réduction des sanctions de l'AI Act ?
Oui. L'article 99.6 inverse la règle générale pour les PME et les jeunes pousses : au lieu du montant le plus élevé entre le montant fixe et le pourcentage du chiffre d'affaires, c'est le montant le plus bas qui s'applique. C'est une garantie explicite que le RGPD n'a pas de façon équivalente — le RGPD applique toujours le montant le plus élevé, quelle que soit la taille de l'entreprise.
Qu'est-ce que l'AESIA et que fait-elle exactement ?
L'Agence espagnole de supervision de l'intelligence artificielle (AESIA) est l'organisme désigné pour surveiller le respect de l'AI Act en Espagne, basé à La Corogne, créé par le décret royal 729/2023. Elle gère le bac à sable réglementaire et publie des guides de conformité. Son pouvoir de sanction complet au titre de l'AI Act dépend de la loi organique encore en cours d'examen au Congrès, non encore adoptée.
Où en est la loi espagnole sur la gouvernance de l'IA ?
Le projet de loi organique sur le bon usage et la gouvernance de l'IA (121/000096) a été approuvé par le Conseil des ministres le 26 mai 2026 et transmis au Congrès. Le délai de dépôt des amendements à la commission de l'Économie, du Commerce et de la Transformation numérique s'est clos le 30 juin 2026 ; le texte reste en commission, sans date de séance plénière. Ce n'est pas encore une loi.
Le Digital Omnibus modifie-t-il les dates du régime de sanctions ?
Le Digital Omnibus sur l'IA reporte les obligations liées au risque élevé (Annexe III à décembre 2027, Annexe I à août 2028), mais ne touche pas aux tranches de sanction de l'article 99 ni à la transparence de l'article 50. Le Conseil a donné son approbation finale le 29 juin 2026, mais la publication au Journal officiel de l'UE reste en attente : tant qu'elle n'a pas lieu, le texte n'est pas en vigueur et les dates initiales s'appliquent.
Sources :
- Règlement (UE) 2024/1689, article 99, paragraphes 3 à 5 (tranches de sanction) — EUR-Lex, texte consolidé.
- Règlement (UE) 2024/1689, article 113 (entrée en vigueur et application, point b : chapitre XII applicable depuis le 2 août 2025, à l'exception de l'article 101) — EUR-Lex.
- Analyse juridique du décalage entre l'applicabilité du règlement et la base légale nationale espagnole — LAW21, « Gobernanza de la IA en España ».
- Règlement (UE) 2024/1689, article 99.6 (règle du montant le plus bas pour les PME) — EUR-Lex.
- Règlement (UE) 2016/679 (RGPD), article 83, paragraphes 4 à 6 (tranches 10 M€/2 % et 20 M€/4 %) — EUR-Lex.
- Décret royal 729/2023 du 22 août, approuvant les statuts de l'AESIA — BOE-A-2023-18911.
- Communiqué de presse de l'AEPD sur sa capacité d'action face aux systèmes d'IA interdits traitant des données personnelles — AEPD.
- Projet de loi organique 121/000096, sur le bon usage et la gouvernance de l'IA (BOCG-15-A-97-1) — Congreso de los Diputados.
- Analyse des tranches de sanction du projet de loi organique espagnol (légère/grave/très grave) — Cuatrecasas.
- Communiqué de presse du Conseil de l'UE sur l'approbation finale du Digital Omnibus sur l'IA (29 juin 2026) — Consilium.